Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
Diese Seite enthält Informationen zur Fehlerbehebung bei Problemen, die beim Erstellen von Cloud Composer-Umgebungen auftreten können.
Informationen zur Fehlerbehebung im Zusammenhang mit dem Aktualisieren von Umgebungen Siehe Fehlerbehebung bei Umgebungsupdates und ‐upgrades
Wenn Cloud Composer-Umgebungen erstellt werden, kann aus folgenden Gründen auftreten:
Probleme mit Dienstkontoberechtigungen.
Falsche Firewall-, DNS- oder Routinginformationen
Netzwerkbezogene Probleme. Beispiel: ungültige VPC-Konfiguration oder IP-Adresse oder Netzwerk-IP-Bereiche zu eng gefasst sind.
Kontingentbezogene Probleme.
Inkompatible Organisationsrichtlinien.
Unzureichende Berechtigungen zum Erstellen einer Umgebung
Wenn Cloud Composer keine Umgebung erstellen kann, da Ihr Konto unzureichende Berechtigungen hat, werden die folgenden Fehlermeldungen ausgegeben:
ERROR: (gcloud.composer.environments.create) PERMISSION_DENIED: The caller
does not have permission
oder
ERROR: (gcloud.composer.environments.create) PERMISSION_DENIED: User not
authorized to act as service account <service-account-name>.
The user must be granted iam.serviceAccounts.actAs permission, included in
Owner, Editor, Service Account User role. See https://cloud.google.com/iam/docs
/understanding-service-accounts for additional details.
Lösung: Weisen Sie Ihrem Konto und dem Dienstkonto Rollen zu. wie unter Zugriffssteuerung beschrieben.
Prüfen Sie in Cloud Composer 2, ob der Cloud Composer-Dienst-Agent aktiviert ist. Dienstkonto (
service-PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com) ist die Rolle Dienst-Agent-Erweiterung für Cloud Composer v2 API zugewiesen.Prüfen Sie, ob der Google APIs-Dienst-Agent (
PROJECT_NUMBER@cloudservices.gserviceaccount.com) hat die Rolle Bearbeiter.Gehen Sie in der Konfiguration der freigegebene VPC wie folgt vor: Anleitung zur Konfiguration von freigegebenen VPCs
Das Dienstkonto der Umgebung hat nicht die erforderlichen Berechtigungen
Beim Erstellen einer Cloud Composer-Umgebung geben Sie einen Dienst an Konto, das die GKE-Clusterknoten der Umgebung ausführt. Wenn dieses Dienstkonto hat nicht die erforderlichen Berechtigungen für den angeforderten Vorgang. Cloud Composer gibt den folgenden Fehler aus:
Errors in: [Web server]; Error messages:
Creation of airflow web server version failed. This may be an intermittent
issue of the App Engine service. You may retry the operation later.
{"ResourceType":"appengine.v1.version","ResourceErrorCode":"504","ResourceError
Message":"Your deployment has failed to become healthy in the allotted time
and therefore was rolled back. If you believe this was an error, try adjusting
the 'app_start_timeout_sec' setting in the 'readiness_check' section."}
Lösung: Weisen Sie Ihrem Konto und dem Dienstkonto Rollen zu. wie unter Zugriffssteuerung beschrieben.
Warnungen zu fehlenden IAM-Rollen in Dienstkonten
Wenn eine Umgebung nicht erstellt werden kann, generiert Cloud Composer den
folgende Warnmeldung angezeigt, nachdem ein Fehler aufgetreten ist:
The issue may be caused by missing IAM roles in the following Service Accounts
...
In dieser Warnmeldung werden mögliche Fehlerursachen hervorgehoben. Cloud Composer prüft die erforderlichen Rollen für die Dienstkonten in Wenn diese Rollen nicht vorhanden sind, wird diese Warnung generiert. angezeigt.
Lösung: Prüfen Sie, ob die in der Warnmeldung genannten Dienstkonten die erforderlichen Rollen. Weitere Informationen zu Rollen und Berechtigungen finden Sie in Informationen zu Cloud Composer finden Sie unter Zugriffssteuerung.
In einigen Fällen können Sie diese Warnung ignorieren. Cloud Composer funktioniert nicht einzelne Berechtigungen prüfen, die Rollen zugewiesen sind. Wenn Sie beispielsweise IAM-Rollen festgelegt ist, ist es möglich, dass das Dienstkonto der in der Warnmeldung erwähnt wird, bereits alle erforderlichen Berechtigungen hat. In dieser können Sie diese Warnung ignorieren.
Für die Umgebung ausgewähltes VPC-Netzwerk ist nicht vorhanden
Sie können ein VPC-Netzwerk und ein Subnetz für Ihren Cloud Composer angeben
wenn Sie sie erstellen. Wenn Sie kein VPC-Netzwerk angeben,
Der Cloud Composer-Dienst wählt die VPC default und die default aus
Subnetz für die Region und Zone der Umgebung.
Wenn das angegebene VPC-Netzwerk und Subnetz nicht vorhanden sind, gilt: Cloud Composer gibt den folgenden Fehler aus:
Errors in: [GKE cluster]; Error messages:
{"ResourceType":"gcp-types/container-v1:projects.locations.clusters","R
esourceErrorCode":"400","ResourceErrorMessage":{"code":400,"message":"P
roject \"<your composer project>\" has no network named \"non-existing-
vpc\".","status":"INVALID_ARGUMENT","statusMessage":"Bad
Request","requestPath":"https://container.googleapis.com/
v1/projects/<your composer
project>/locations/<zone>/clusters","httpMethod":"POST"}}
Lösung:
- In Cloud Composer 2 können Sie Umgebungen erstellen, Private Service Connect anstelle von VPC verwenden Netzwerken.
- Prüfen Sie vor dem Erstellen einer Umgebung, ob das VPC-Netzwerk und das Subnetz für die neue Umgebung ist vorhanden.
Falsche Netzwerkkonfiguration
Zum Erstellen einer Cloud Composer-Umgebung ist ein korrektes Netzwerk oder DNS erforderlich Konfiguration. Folgen Sie dieser Anleitung, um die Verbindung zu Google zu konfigurieren. APIs und Dienste:
Wenn Sie Cloud Composer-Umgebungen im Modus für freigegebene VPC konfigurieren, gilt Folgendes: folgen Sie auch der Anleitung für freigegebene VPCs.
Eine Cloud Composer-Umgebung verwendet ein Subnetz für Clusterknoten und IP-Bereiche für Pods und Dienste. Um die Kommunikation mit diesen und anderen IP-Bereichen sicherzustellen, Folgen Sie dieser Anleitung, um Firewallregeln zu konfigurieren:
Sie können auch in der Auswahl von GCE Networking nach Logeinträgen suchen und
Subnetwork Konfigurationskategorien in Cloud Logging, um zu sehen, ob welche vorhanden sind
Fehler, die beim Erstellen der Umgebung gemeldet wurden:
Cloud Logging
Kontingentprobleme beim Erstellen von Umgebungen in großen Netzwerken aufgetaucht
Beim Erstellen von Cloud Composer-Umgebungen in großen Netzwerken können die folgenden Kontingentbeschränkungen auftreten:
- Die maximale Anzahl von VPC-Peerings pro einzelnes VPC-Netzwerk ist erreicht.
- Die maximale Anzahl von primären und sekundären Subnetz-IP-Bereichen wurde erreicht.
- Die maximale Anzahl von Weiterleitungsregeln in der Peering-Gruppe für das interne TCP/UDP-Load-Balancing wurde erreicht.
Lösung:
- In Cloud Composer 2 können Sie Umgebungen erstellen, Private Service Connect anstelle von VPC verwenden Netzwerken.
- Wenden Sie in Cloud Composer 1 den für Cloud Composer in großen Netzwerken:
Inkompatible Organisationsrichtlinien
Die folgenden Richtlinien müssen entsprechend konfiguriert werden, damit Cloud Composer-Umgebungen erfolgreich erstellt werden können.
| Unternehmensrichtlinien | Cloud Composer 3 | Cloud Composer 2 | Cloud Composer 1 |
|---|---|---|---|
compute.disableSerialPortLogging |
(Jeder Wert ist zulässig) | Muss deaktiviert sein | Für Versionen vor 1.13.0 deaktiviert. Andernfalls jeder beliebige Wert. |
compute.requireOsLogin |
(Jeder Wert ist zulässig) | (Jeder Wert ist zulässig) | Muss deaktiviert sein |
compute.vmCanIpForward |
(Jeder Wert ist zulässig) | (Jeder Wert ist zulässig) | Muss zulässig sein (erforderlich für GKE-Cluster, die zu Cloud Composer gehören), wenn der VPC-native Modus (mit Alias-IP-Adresse) nicht verfügbar ist konfiguriert |
compute.vmExternalIpAccess |
(Jeder Wert ist zulässig) | Muss für öffentliche IP-Umgebungen zugelassen werden | Muss für öffentliche IP-Umgebungen zugelassen werden |
compute.restrictVpcPeering |
Kann erzwungen werden | Kann nicht erzwungen werden | Kann nicht erzwungen werden |
compute.disablePrivateServiceConnectCreationForConsumers |
(Jeder Wert ist zulässig) | (Jeder Wert ist zulässig) | SERVICE_PRODUCERS kann nicht abgelehnt werden, wenn Private Service Connect verwendet wird |
compute.restrictPrivateServiceConnectProducer |
Wenn aktiv, setzen Sie die Organisation „google.com“ auf die Zulassungsliste |
Wenn aktiv, setzen Sie die Organisation „google.com“ auf die Zulassungsliste |
(Jeder Wert ist zulässig) |
Weitere Informationen finden Sie auf der Seite Bekannte Probleme und Einschränkungen für Organisationsrichtlinien.
Innerhalb einer Organisation oder eines Projekts verwendete Dienste einschränken
Organisations- oder Projektadministratoren können einschränken, welche Google-Dienste verfügbar sind
die in ihren Projekten eingesetzt werden,
gcp.restrictServiceUsage
Einschränkung der Organisationsrichtlinie.
Bei der Verwendung dieser Organisationsrichtlinie ist es wichtig, alle für Cloud Composer erforderlichen Dienste zulassen.
400 Fehlermeldungen: Der Airflow-Webserver konnte nicht bereitgestellt werden.
Dieser Fehler kann dadurch verursacht werden, dass der GKE-Cluster einer privaten IP-Umgebung aufgrund sich überschneidender IP-Bereiche nicht erstellt wurde.
Lösung: Prüfen Sie die Logs auf Fehler im Cluster Ihrer Umgebung und beheben Sie das Problem basierend auf der GKE-Fehlermeldung.
Cloud Build kann keine Umgebungs-Images erstellen
Gilt für: Cloud Composer 2 und Cloud Composer 1.
Wenn das Cloud Build-Dienstkonto
(PROJECT_NUMBER@cloudbuild.gserviceaccount.com) enthält nicht die
Rolle Cloud Build-Dienstkonto (roles/cloudbuild.builds.builder) in
in Ihrem Projekt haben, schlagen Versuche, eine Umgebung zu erstellen oder zu aktualisieren,
Fehler im Zusammenhang mit Berechtigungen.
Beispielsweise sehen Sie
denied: Permission "artifactregistry.repositories.uploadArtifacts" denied
gefolgt von ERROR: failed to push because we ran out of retries in
die Cloud Build-Logs.
Prüfen Sie, ob das Cloud Build-Dienstkonto die Berechtigung Cloud Build-Dienstkonto.